Zed案例 | 以安全隐私融合举例从流程入手隐私工程体系建设

与网络安全主流的 DevSecOps 的框架相适应，以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中，减少隐私保护工作实施过程中的阻力。

随着《个人信息保护法》的出台和生效，我国的个人信息保护框架基本稳固，监管活动也逐渐趋于常态化，监管的关注点也越来越细致深入，大部分企业已具备基础的个人信息保护能力，开始追求隐私保护的制度化、流程化和体系化，更多从事前考虑并关注如何预防、评估和处置个人信息安全风险。由此可见，隐私工程或将成为下一阶段企业隐私保护的解决方案。

虽然隐私工程主要强调如何将隐私嵌入产品和系统的开发流程中，但要实现这种融合，还需要在组织建设、人员管理、技术选择、制度流程等方面进行配合，对内涉及企业多部门多方面参与，对外还要关注用户、合作方、监管部门等多个关联方的安全隐私需求。

在此结合我国企业的隐私工程实践经验，提供了可参考的隐私工程体系建设流程、架构及建议。在实践中，企业可根据自身情况判断隐私保护现状及差距，从适当的流程入手逐步完善隐私工程体系的建设。

隐私工程体系建设可分为计划阶段、构建阶段、集成阶段、验证阶段和运营阶段，各个阶段与网络安全主流的 DevSecOps 的框架相适应，以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中，减少隐私保护工作实施过程中的阻力。

1. 隐私工程计划阶段

计划阶段主要是通过组织架构、人员职责、制度流程、技术工具和知识管理等方面进行规划设计，是隐私工程的基础性工作。

组织架构与人员职责

从企业层面设立专门的隐私保护组织，明确组织构成以及各方职责分工，统筹规划并推进个人信息保护整体工作。具体包括制定个人信息保护目标，建立运营机制和问责机制，通过持续完善运营机制和专项活动推动隐私保护目标达成，包括不限于推动标准化流程的建立及完善、定期考核目标达成情况、通过组织培训活动提升员工隐私保护意识等。

■ Amber Group：职责清晰的安全隐私治理组织架构

Amber Group 的信息安全与隐私组织架构（如图 1）借鉴和参考了 COBIT 5.0、ISO 27001 和 ISO 27701 等 IT 治理和安全隐私标准的组织架构设计指引，通过合理的层级设置和职责划分，建立决策、管理、执行和监督四个层级的运作机制，具备分工合理、职责明确、相互制衡、报告关系清晰的特点，充分体现了治理框架的全面性、合规性、先进性、可操作性和审计独立性。信息安全与隐私组织架构建立了安全委员会、信息安全与隐私保护管理组、信息安全与隐私保护执行组（信息安全与隐私部门、数据所有者、数据消费者、信息安全与隐私接口人）、数据保护官、信息安全与隐私监管组等组织，建立了清晰的职责矩阵和 RACI 矩阵，能够对每个隐私工作领域所需要负责（Responsible）、批准（Accountable）、咨询（Consulted）、通知（Informed）的角色进行明确定义，确保隐私工作有效地落实责任。

图 1 Amber Group 信息安全与隐私组织架构

制度流程与合规基线

隐私工程体系应该具备稳定性、灵活性、体系兼容性和可扩展性，才能在面对快速出台的法律法规、政策和标准等做到“以不变应万变”。企业可以参照国际标准和最佳实践框架建立一套稳固的底座，并根据行业和企业具体情况进行量身定制。企业应在隐私保护与治理过程中，持续对新的隐私保护要求以及行业规定进行识别和集成，以保证在稳固底座之上建立具备兼容性、可扩展性且符合企业实际情况的控制要求。

■ Amber Group：信息安全与隐私管理体系文件融合架构

Amber Group 在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个人数据留存及销毁程序、数据主体同意管理规范、数据主体权利响应程序、数据处理记录规范、个人数据泄漏响应程序、数据跨境传输程序、数据安全与隐私保护技术规范、个人数据与隐私保护需求与架构评审 Checklist、个人数据与隐私合规评估准则、PIA&DPIA 报告及模板等主要内容（如图 2）。这些文件共同为隐私工程的构建阶段提供规范化文档指引，也是知识管理中需要持续维护的内容。

图 2 Amber Group 信息安全与隐私管理体系文件融合架构

技术工具

隐私工程在实践中需要同时采用管理措施和技术手段来控制个人隐私合规风险。企业基于法律法规制定的制度流程等管理措施为管控个人隐私风险提供了原则和规范，而访问控制、密码算法、隐私增强计算技术等技术工具可以对隐私合规要求进行具象化的产品或系统实现。但隐私和数据安全领域与传统信息安全领域有所不同，其风险项以原则性描述居多。

同时，隐私保护及数据安全与实际业务耦合性较强，在控制隐私风险时，对业务模式和逻辑的侵入性也更强，较难建立统一认可的通用威胁模型和防护手段。因此，企业应结合自己业务的实际情况，对业务场景进行梳理，建立通用场景的隐私合规威胁模型和风险库，并设计相应的隐私保护策略及解决方案，设置隐私合规基线，开展隐私影响自评估，在产品和服务上线前进行安全测试验证。

技术工具是不断发展演进的，隐私保护专家在使用技术工具设计各种个人隐私保护方案的同时，攻击者也会利用技术设计新型的攻击和威胁模型，导致旧有保护方案的防护效果减弱。因此，隐私保护相关人员应对新技术的发展持续关注和学习，以确保在恰当的业务场景中使用合适的隐私计算技术进行防护，具体落实隐私保护增强技术的研发和实施，设置关键的控制要求，使得各业务线实施符合隐私工程的设计方案，确保隐私保护融入产品和系统的开发设计、开发设计、测试、验证等各个环节。

知识管理和培训

隐私保护是一个跨学科、跨领域的专业，要求在业务、研发、产品、安全、隐私、法务、公关、人力资源等不同部门之间做到密切有效的配合，相关知识经验的传递和沉淀是必不可少的。企业可参考 ISO/IEC 27550:2019 开展隐私保护的人力资源管理以及知识管理。人力资源管理流程可以理解为隐私工程能力发展项目，主要以识别隐私工程能力以及对应资源的投入，包括培训及教育、培训材料的创建和维护，以及监控该能力的变化。知识管理流程主要是将隐私工程实践中所积累的知识形成专业的知识库，运用于实践指导。企业可安排隐私保护组织制定年度培训目标与计划，并根据近期监管动向、合规趋势、处罚案例、行业热点等情况。

2. 隐私工程构建阶段

隐私工程构建阶段包括产品需求定义和产品设计定义。需求定义要分析产品需求中哪些内容可能涉及个人信息处理，并根据相关要求进行隐私影响评估并记录，最终根据隐私影响评估结果判断是否可以正式进入产品隐私的设计阶段。如果经评估判断存在高风险，则需要进一步根据实际情况选择是否采取减缓措施或选择放弃该数据处理活动。

设计定义主要是根据隐私影响评估建立的一系列分析过程文档，为具体的业务构建隐私设计。隐私设计分为初次构建和迭代更新。初次构建涉及的内容较多，包括隐私通知与交互界面分层设计、隐私政策更新通知、Cookies 与 SDK 识别与权限收集设计、Cookies 横幅设计、数据主体访问请求界面与对接、数据展示脱敏、日志输出脱敏、数据库设计和隐私设置偏好中心设计等。迭代更新则主要关注本次产品需求更新的内容，重点对变更内容重复前述工作，包括根据新收集的个人信息进行识别、更新隐私政策、增加个人信息同意记录收集点等等。同时，以上隐私设计还需要通过记录保存相关证据，以满足合规证据留存的要求。

■ Amber Group：融合数据安全与隐私保护的综合治理框架

Amber Group 数据安全与隐私保护框架（如图 3）是以 NIST 隐私框架为基础，融合数据安全能力成熟度模型要求（DSMM）、 SOC 2 和 ISO 信息安全与隐私信息管理体系（ISO 27001/27701/29151），并结合 PbD 和先进云原生 DLP 技术能力，形成的具有 Web3 和数字资产领域隐私保护特色的综合性框架。该框架通过将 Privacy by Design & Default 嵌入 DevSecOps 的产品研发流程当中，使产品研发过程尽早考虑隐私保护，达到“安全与隐私左移” 的目标，以防范组织内部数据滥用、数据误用、数据泄漏等隐私合规风险。

图 3 Amber Group 数据安全与隐私保护框架
来源：Amber Group

数据安全与隐私保护框架共分为 5 个模块，分别是识别、治理、保护、交互与内控。

识别模块是整个框架运行的开端，通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续识别，充分了解企业的各类底数台账，是数据安全与隐私保护框架运行的先导条件。

治理模块是框架的底座，也是任何体系的基础。

一是完善组织建设，将组织数据隐私职责进行明确定义，通过高层给予隐私承诺，以数据与隐私接口人机制落实相关制度流程，保持组织内部流畅的沟通渠道。
二是数据安全与隐私保护法规融合，搭建管理体系制度与流程文件体系，为合规管理留存执行记录证据。
三是建立数据安全与隐私保护的风险管理计划，通过风险评估识别风险，定义组织风险承受能力和风险偏好，同时与组织的风险管理框架进行合理衔接。
四是落实数据安全的运营管理职责，执行数据安全策略运营、监控预警、应急处置和账密管控。

最后是建立高层级的监视审查机制，通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据，对异常数据接收、数据主体权利响应和环境因素变化等主要环节进行持续监视。

保护模块融合了传统网络安全和信息安全的身份管理和访问控制、通用安全控制。在数据安全方面，从企业的生产环境和职场办公环境分别搭建安全控制措施。在隐私保护方面，将基于默认和设计的隐私嵌入到企业的产品研发流程中。

交互模块体现了隐私保护所特有的交互特性。

在监管机构方面，应保持双向的顺畅沟通，做好跨境传输审批、数据泄露通知、定期向监管披露隐私情况报告等。
在客户方面，应完善隐私的通知、告知、投诉与沟通渠道，做好客户同意管理和主体权利响应管理，提升客户体验。
在供应商方面，则应该落实尽职调查、界定双方责任义务、做到定期审计稽核，保持数据事件应急响应联动机制的有效性，做好SDK 和API 的相关资产管理，并保持良好的沟通。
在员工方面，应明确职责，做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。最重要的是设置好 DPO 机制，为数据主体和监管机构搭建一个专业有效的沟通联络点。

内控模块主要是对管理体系运行效果进行评估、检查、验证、审计，获取外部机构认可和专业资质认证，通过持续的预防措施和整改纠正行动来持续改进。内控模块应与网络安全或信息安全管理体系进行有效融合和衔接。

3. 隐私工程集成阶段

隐私工程集成阶段是将隐私构建阶段的各项设计通过隐私通知与交互界面开发、产品、数据库开发与隐私管理平台配置和集成等进行落地实现，需要确保企业的隐私技术设计规范得以正确实施。为了达到这个目的，需要每个业务系统的产品经理和研发人员正确理解隐私技术规范。因此，除了典型的管理性培训外，使用更“技术语言”的方式来沟通，将会极大提高隐私集成的效率和准确性。例如，参考隐私设计模式，建立可复用的技术组件、沟通话术、隐私文本模板、通用API/SDK 等方法等都是良好的隐私工程集成实践。

4. 隐私工程验证阶段

隐私工程验证阶段，主要是对设计和开发的具体实现和符合性进行验证，检查隐私需求是否得到满足。主要工作包括 Web Cookies 扫描、App 与 SDK 数据收集和权限扫描、隐私功能用户验收测试。隐私工程的验证通常由不同的团队执行。软件测试团队负责功能测试，对隐私界面、隐私功能是否与需求和设计文档保持一致进行验证。提出需求的隐私团队则需要确保系统的隐私功能与后端的隐私管理平台或通用组件之间集成的正确性，包括后端平台是否能够正确收到用户同意记录、数据主体权利请求流程是否通畅、隐私政策文本正确性、隐私政策链接跳转是否有效、Web Cookies 是否与政策保持一致等等。

此外还可以引入外部第三方隐私合规检测机构，通过模拟用户遍历产品功能、代码审查、动态监测、隐私政策内容提取分析等手段，从产品交互界面隐私设计，产品自身及第三方 SDK 获取用户数据的时间节点、频次、具体种类，获取系统权限的时间节点、频次，隐私政策披露用户数据收集和使用的真实、准确、完整性等多个维度对产品用户数据处理和隐私设计状况进行全面扫描，并在此基础上验证其是否符合合规基线。

5. 隐私工程运营阶段

隐私工程的运营阶段，主要是持续进行规范跟踪、过程管理、风险管控，对隐私工程措施和流程实现维护和优化。

规范跟踪

跟踪隐私相关的法律法规、行业标准和最佳实践，确保组织的隐私措施符合最新的合规要求。定期评估和更新隐私政策、用户协议和其他隐私相关的文件，以及企业已经制定的隐私保护要求和业务流程，以确保其与最新的法律要求和企业隐私策略一致。

过程管理

各部门相关人员需要在企业隐私管理制度、业务流程以及隐私工程框架下的指导下完成各角色的工作任务，因此需要对与隐私相关的人员、工具、数据以及产品等进行全链路流程管理，确保规范中要求的动作得以恰当履行，台账、审计以及检查等工作得以妥善完成，确保隐私工程与业务深度融合。

风险管控

隐私风险管控是保护个人信息的重要措施，是隐私工程运营阶段的重要工作，它涉及对数据处理活动中可能出现的潜在风险进行识别、评估、监测和处置。在隐私管理和流程实施过程中，需要结合相关工具和技术对风险点予以监控和预测，对隐私安全事件设置预警机制、预案以及响应机制，并对于已经发生的事件完成评估及复盘工作，改进现有隐私管理措施。

本文摘编自CCSA TC601 大数据技术标准推进委员会发布的《隐私工程白皮书》，全文下载：